Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Mirjouline le juillet 15, 2012, 14:07:33
-
Hello,
J'ai du faire n'importe quoi ces derniers jours, mais en tout cas IncrediBar me pourrit la vie et a infesté Chrome et Firefox. Firefox bug tellement que je ne peux même plus modifier les options du navigateur...
J'ai aussi un probleme, sous FF, avec µ Toolbar qui passe son temps à envoyer des requêtes à µTorrent pour demander un accès...
Pour le reste mon ordinateur est lent, après démarrage il y a toujours un moment où tout plante pendant 1/4d'h, c'est vraiment pas chouette.
Si vous pouviez m'aider ce serait merveilleux. J'ai déjà scanné via un antivirus + spybot search&destroy et même si certaines choses ont été retirées, il reste encore ces soucis.
Voici ma config :
Windows 7
Architecture en 64 bits
Je suis nouvelle ici, s'il vous manque une info n'hésitez pas à me dire. Merci d'avance à ceux d'entre vous qui auront la gentillesse de m'aider :)
-
Bonjour Mirjouline,
Bienvenu sur Security-X
Généralement ce sont des adwares, des sponsors publicitaires installées avec d'autres programmes "gratuit" si on ne pense pas à lire les conditions d'utilisation ou décocher les options.
On va regarder ça :
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://pjjoint.malekal.com/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)[/i]
Note : Les rapports sont aussi enregistrés sur le bureau
-
Hello hyunkel,
Merci pour ton aide :)
Voici les rapports :
Extras.txt : http://pjjoint.malekal.com/files.php?id=20120715_w14y14d11o8u6
OTL.txt : http://pjjoint.malekal.com/files.php?id=20120715_u6n6b12j15j14
merci
-
Re,
1) Désinstalle les programmes suivant dans ta liste des programmes (si présents) :
Note : si l'un des programmes ne peut se désinstaller, passe au suivant et poursuis la procédure
- Java(TM) 6 Update 17 (64-bit) (obsolète, tu possèdes une version plus récente)
- Spybot - Search & Destroy (obsolète et inutile, la preuve, tu es là)
- Ad-Aware (idem)
- uTorrentBar_FR Toolbar (barre d'outil sponsorisée par un logiciel publicitaire)
- SoftwareUpdate 1.5 (lié à un adware)
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
PRC - [2012/06/25 15:10:22 | 000,185,856 | ---- | M] () -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe
SRV:64bit: - [2012/06/25 15:10:22 | 000,185,856 | ---- | M] () [Auto | Running] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater)
SRV - [2011/09/02 15:29:30 | 002,152,152 | ---- | M] (Lavasoft Limited) [Disabled | Stopped] -- C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
DRV:64bit: - [2010/12/03 11:05:34 | 000,069,152 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\Windows\SysNative\drivers\Lbd.sys -- (Lbd)
DRV - [2011/02/04 16:27:14 | 000,017,152 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Program Files (x86)\Lavasoft\Ad-Aware\kernexplorer64.sys -- (Lavasoft Kernexplorer)
IE - HKLM\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTor.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2638391934-645580902-2394388-1000\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTor.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.selectedEngine: "MyStart Search"
FF - prefs.js..browser.startup.homepage: "http://mystart.incredibar.com/mb174?a=6PQDuwTAUv&i=26"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb174/?loc=IB_DS&a=6PQDuwTAUv&&i=26&search="
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX [2012/07/15 03:15:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2012/07/15 03:15:51 | 000,000,000 | ---D | M]
[2012/06/25 23:55:06 | 000,000,000 | ---D | M] (uTorrentBar_FR Community Toolbar) -- C:\Users\Marjolaine\AppData\Roaming\mozilla\Firefox\Profiles\5o9isytz.default\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
[2011/01/09 10:11:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2011/02/24 21:18:58 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011/08/03 10:50:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011/11/12 17:20:55 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
[2012/07/15 03:15:51 | 000,000,000 | ---D | M] (Web Assistant) -- C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
CHR - Extension: Web Assistant = C:\Users\Marjolaine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.462_0\
O2:64bit: - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension64.dll ()
O2 - BHO: (uTorrentBar_FR Toolbar) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTor.dll (Conduit Ltd.)
O2 - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.
O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll ()
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O3 - HKLM\..\Toolbar: (uTorrentBar_FR Toolbar) - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files (x86)\uTorrentBar_FR\prxtbuTor.dll (Conduit Ltd.)
O4 - HKLM..\Run: [EoEngine] File not found
O4 - HKLM..\Run: [eorezo] File not found
O4 - HKLM..\Run: [EoWeather] File not found
O4 - HKU\S-1-5-21-2638391934-645580902-2394388-1000..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-2638391934-645580902-2394388-1000..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
:Reg
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA9301"=-
"SpybotDeletingC3382"=-
:Files
C:\Program Files\Web Assistant
C:\Program Files (x86)\Lavasoft
C:\Program Files (x86)\uTorrentBar_FR
C:\Program Files (x86)\Spybot - Search & Destroy
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Après redémarrage, dis-moi si tout est ok sur le pc par rapport aux symptômes initiaux.
:AAN
-
Hello, j'ai suivi tous tes conseils et redémarré l'ordi après correction par OTL, mais malheureusement chrome et FF sont toujours pourris par incredibar :
- sous chrome mes nouveaux onglets sont renvoyés vers http://mystart.incredibar.com/?loc=CH_NT
- sous FF mes urls sont modifiées en cours de chargement et remplacées par des urls qui ressemblent à ça http://mystart.incredibar.com/MB168?a=6PQDuwTAUv
Penses-tu pouvoir m'aider encore stp ?
-
Re,
Bien sûr, par contre j'aimerais le rapport de suppression de l'outil OTL comme demandé s'il te plait :
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
Tu feras aussi ceci s'il te plait :
Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Recherche.
- A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
-
Hello.
Oui désolée j'ai oublié le rapport de suppression.
Je t'en envoie deux parce que je l'ai fait en deux fois... la première fois, j'avais oublié de supprimer les deux derniers programmes que tu m'avais indiqués : µTorrentBar et SoftwareUpdate
J'ai donc recommencé l'opération une seconde fois après suppression de ces derniers programmes. J'espère que ceci ne pose pas de problème...
Voici les deux rapports de suppression OTL :
Le premier : http://pjjoint.malekal.com/files.php?id=20120715_y8u14v8b11m11
Le second : http://pjjoint.malekal.com/files.php?id=20120715_t8q13y8k12m8
Et le rapport AdwCleaner : http://pjjoint.malekal.com/files.php?id=20120715_9g6k10l14z14
Merci encore pour ton aide.
-
Re,
Pas de problème, mais surtout il ne faut pas hésiter à nous expliquer tes problèmes, cela évitera effectivement des complications inattendues.
On va regarder, parce que ce qu'on supprime semble revenir.
Est-ce que tu avais bien fermé ton navigateur internet avant de lancer la suppression ?
Fais ceci maintenant s'il te plait :
Relance AdwCleaner :
/!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Suppression.
- Valide l'avertissement.
- Si le pc demande à redémarrer, accepte.
- Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
-
OK.
Bon j'ai encore oublié quelque chose au début et du faire la suppression en deux fois (j'avais oublié de me déconnecter avant la première...). Décidément :(
Voici donc les deux rapports de suppression :
Le premier : http://pjjoint.malekal.com/files.php?id=20120715_z14k7u9u14z9
Le second (là, j'avais bien suivi l'ensemble de tes conseils) : http://pjjoint.malekal.com/files.php?id=20120715_t11v14x10v13r14
Je te confirme également que malheureusement le problème est toujours là.
A ta dispo pour la suite
-
Bonjour,
Est-ce que tu peux me confirmer ou non que le souci reste exclusivement à l'ouverture d'un nouvel onglet vide ?
Et/Ou me dire à quel moment encore tu vois des incursion de incredibar, comme cela je ciblerais le prochain nettoyage.
-
Hello,
Oui c'est bien cela, c'est l'ouverture d'un nouvel onglet qui provoque la redirection vers cet url
Par contre, ce n'est plus le cas sur FF, je n'ai plus ce problème que sous chrome !! :) c'est déjà chouette merci beaucoup !!!
-
Re,
Ok, on va devoir travailler manuellement malheureusement.
Ferme Chrome s'il est ouvert
Affiche les fichiers et dossiers cachés :
http://www.inforumatique.fr/forum/afficher-les-fichiers-caches-t2984.html
Va jusqu'à ce fichier :
C:\Users\Marjolaine\AppData\Local\Google\Chrome\User Data\Default\Preferences
Fais-moi une copie que tu vas sauvegarder sur ton bureau.
Puis tu sélectionnes cette copie avec un clic-droit -> renommer
Tu ajoutes ".txt" à la fin du nom et tu valides.
Tu m'envoies ce fichier texte en pièce jointe dans ta prochaine réponse.
:AAN
-
Le voici en PJ !
je n'ai pas eu besoin d'afficher les dossiers cachés, tiens.
J'espère que c'est bon pour toi.
A ta dispo, bonne journée :AAC
-
Re,
Ok, le souci viens d'un addon qui s'était installé dans chrome :
Perion plugin
Supprime cet addon/plugin dans les extension ou les plugin, là où tu le vois :
http://support.google.com/chrome/bin/answer.py?hl=fr&answer=113907
-
hello et merci !
le soucis c'est que ce plugin ne figure pas dans la liste de mes extension chrome...
comment puis-je m'en débarrasser ?
-
Re,
Oui il est dans les plugins, pas les extension apparemment, bon on va tester comme ceci :
Relance OTL.exe
- Ferme toutes tes fenêtres, surtout Google Chrome, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
CHR - plugin: Injovo Extension Plugin (Enabled) = C:\Users\Marjolaine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.462_0\npbrowserext.dll
CHR - plugin: Perion plugin (Enabled) = C:\Users\Marjolaine\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg\1.0.0_0\Plugins/PerionNewTabChrome-32.dll
CHR - Extension: Web Assistant = C:\Users\Marjolaine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd\2.0.0.462_0\
CHR - Extension: New tab for Chrome\u2122 = C:\Users\Marjolaine\AppData\Local\Google\Chrome\User Data\Default\Extensions\jifflliplgeajjdhmkcfnngfpgbjonjg\1.0.0_0\
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
-
OK
Pourtant même en passant par la liste des plugins chrome en tapant chrome://plugins/ dans la barre d'adresse, je ne trouve pas le plugin dont tu parles.
Voici le rapport après correction : http://pjjoint.malekal.com/files.php?id=20120725_s15o10r13i6p13
Merci
-
Re,
Tu as encore la page dans les nouveaux onglets ou c'est ok maintenant ?
-
Bonsoir,
Ce sujet n'est plus suivi pour non-réponse depuis plus de 10 jours.
:AAN